Cisco IOSソフトウェアのリバースSSHにおけるDoS脆弱性

SSHバージョン1

この脆弱性はSSHv2のみに影響するため、ソフトウェアのアップデートが完了するまで、ip ssh version 1グローバルコンフィギュレーションコマンドを適用することで一時的に緩和できます。 この回避策を適用する前に、SSHバージョン1プロトコルの制限と脆弱性を確認する必要があります。

vtyアクセスクラス

vtyアクセスクラスを適用して、既知の信頼できるホストだけにSSH経由でのデバイスへの接続を許可することで、シスコデバイスの公開を制限できます。

vtyへのトラフィック制限の詳細については、http://www.cisco.com/en/US/docs/ios/12_2/ipaddr/command/reference/1rfip1.html#wp1017389を参照してください。

次の例では、192.168.1.0/24ネットブロックと単一のIPアドレス172.16.1.2からのvty回線へのアクセスを許可し、それ以外の場所からのアクセスは拒否しています。

Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)# access-list 1 permit host 172.16.1.2
Router(config)# line vty 0 4
Router(config-line)# access-class 1 in

サポートする端末回線の量は、シスコプラットフォームによって異なります。デバイスの設定をチェックして、プラットフォームに適した端末回線数を確認します。

インフラストラクチャ アクセス コントロール リスト

ネットワークを移動するトラフィックをブロックするのは往々にして困難ですが、インフラストラクチャ デバイスに送られてはならないトラフィックを識別し、ネットワークの境界でそのトラフィックをブロックすることは可能です。インフラストラクチャアクセスコントロールリスト(iACL)は、ネットワークセキュリティのベストプラクティスと考えられており、ここでの特定の脆弱性の回避策としてだけでなく、優れたネットワークセキュリティへの長期的な付加機能として考慮する必要があります。以下に示すACLの例は、インフラストラクチャIPアドレス範囲内のIPアドレスを持つすべてのデバイスを保護するために配備されるインフラストラクチャアクセスリストの一部として含める必要があります。

Cisco IOS が稼働するデバイスのアクセス リストの例：

! – 信頼できるホストからのSSHサービスを許可し、 

! – インフラストラクチャアドレスに変換します。

access-list 150 permit tcp TRUSTED_HOSTS MASK INFRASTRUCTURE_ADDRESSES MASK eq 22

! – 他のすべての送信元からインフラストラクチャアドレス宛てのSSHパケットを拒否します。

access-list 150 deny tcp any INFRASTRUCTURE_ADDRESSES MASK eq 22

! – 他のすべてのトラフィックがこのデバイスを通過することを許可します。

access-list 150 permit ip any any

interface serial2/0

  ip access-group 150 in

ホワイトペーパー『Protecting Your Core: Infrastructure Protection Access Control Lists』には、アクセスリストによるインフラストラクチャ保護のガイドラインと推奨される導入方法が記載されています。このWhite Paperはhttp://www.cisco.com/en/US/tech/tk648/tk361/technologies_white_paper09186a00801a1a55.shtmlにあります。

コントロール プレーン ポリシング

コントロール プレーン ポリシング（CoPP）機能を使用すると、これらの脆弱性を緩和できる可能性があります。次の例では、receive宛先IPアドレスを持つ信頼できるホストからのSSHトラフィックのみが、ルートプロセッサ(RP)への到達を許可されています。

注：不明なIPアドレスや信頼できないIPアドレスからのトラフィックを廃棄すると、動的にIPアドレスが割り当てられたホストがCisco IOSデバイスに接続できなくなることがあります。

    access-list 152 deny tcp TRUSTED_ADDRESSES MASK any eq 22

    access-list 152 permit tcp any any eq 22

    !

    class-map match-all COPP-KNOWN-UNWANTED（望ましくないクラスマップ）

     match access-group 152

    !

    !

    ポリシーマップCOPP-INPUT-POLICY

     クラスCOPP-KNOWN-INSORTABLE

      drop

    !

    control-plane

     service-policy input COPP-INPUT-POLICY（サービスポリシー入力COPP – 入力ポリシー）

上記のCoPPの例では、ACLエントリのpermitアクションに一致する悪用パケットがある場合、これらのパケットはpolicy-map drop機能によって廃棄されますが、denyアクションに一致するパケットはpolicy-map drop機能の影響を受けません。

CoPP機能の設定と使用方法の詳細については、次のURLを参照してください。http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6642/prod_white_paper0900aecd804fa16a.html

ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/go/psirt の Cisco Security Advisories and Responses アーカイブや後続のアドバイザリを参照して、侵害を受ける可能性と完全なアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center（TAC）もしくは契約しているメンテナンスプロバイダーにお問い合わせください。

Cisco IOS ソフトウェア

次のCisco IOSソフトウェアテーブルの各行は、Cisco IOSソフトウェアトレインに対応しています。特定のトレインに脆弱性が存在する場合、修正を含む最も古いリリースが「最初の修正済みリリース」列に表示されます。2012年3月のFirst Fixed Release for All Advisories Bundled Publication列には、Cisco IOSソフトウェアセキュリティアドバイザリバンドル公開で公開されたすべての脆弱性を修正する最初のリリースが記載されています。シスコでは、可能な限り最新のリリースにアップグレードすることを推奨しています。

Cisco IOS Software Checkerを使用すると、特定のCisco IOSソフトウェアリリースに対応するシスコセキュリティアドバイザリを検索できます。このツールは、Cisco Security(SIO)ポータル(https://sec.cloudapps.cisco.com/security/center/selectIOSVersion.x)で利用できます。

Cisco IOS XE ソフトウェア

Cisco IOS XR ソフトウェア

Cisco IOS XRソフトウェアは、2012年3月のCisco IOS Software Security Advisoryバンドル公開に含まれている脆弱性の影響を受けません。

Cisco Product Security Incident Response Team（PSIRT）は、本アドバイザリに記載されている脆弱性の不正利用事例やその公表を確認していません。

この脆弱性は、お客様からシスコに報告されたものです。

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。